upload.pypi.org 现已强制启用双重身份验证

从今天开始,所有来自已启用双重身份验证的用户帐户的上传都需要使用 API 令牌Trusted Publisher 配置来代替其密码。

自 2019 年推出双重身份验证以来,这一变化已 计划实施。在 2022 年 2 月,我们开始在上传时通知用户这一变化即将到来。

如果您启用了双重身份验证,并且一直只使用密码进行上传,那么您可能会收到以下电子邮件。

Sample notice email

当启用了双重身份验证的用户仅使用其密码上传时,系统会发送一条示例通知电子邮件。

最初,我们打算让此通知在开始执行之前持续六个月。

但是,关于使用用户范围的 API 令牌创建新项目的一些有效问题被提了出来。

随着 Trusted Publishers 的推出,PyPI 现在为用户提供了一种方法,让他们可以在不配置用户范围令牌的情况下发布 **新** 项目,并且可以继续发布,而无需配置任何长期有效的 API 令牌。

鉴于此,以及我们对 在整个 PyPI 上进一步推广双重身份验证的承诺,我们现在正在执行此策略。

Ee Durbin 是 Python 软件基金会的基础设施总监。自 2013 年以来,他们一直在为保持 PyPI 在线、可用和安全做出贡献。